Digital Life
07/26/2013

Bundesheer verrät Webmail-Zugangsdaten

Das österreichische Bundesheer nimmt an der europäischen Helikopter-Übung "Hotblade 2013" in Portugal teil. Fotos dieses Events wurden auf der Hmepage des Bundesheeres veröffentlicht. Eines davon zeigte Webmail-Zugangsdaten für die österreichischen Teilnehmer.

Auf dem Bild sind Offiziere zu sehen, die vor einem Whiteboard stehen, auf dem gut lesbar die URL und die Zugangsdaten des Webmail-Accounts zu sehen sind. Das betreffende Foto ist, nachdem die Verantwortlichen auf den Fehler aufmerksam gemacht wurden, von der Seite entfernt worden. Der betreffende Webmail-Zugang ist nicht mehr zugänglich.

"Das Problem wurde behoben, das Foto von unseren Servern gelöscht. Wir haben alle nationalen und internationalen Maßnahmen ergriffen, die Passwörter ändern zu lassen", heißt es auf futurezone-Nachfrage aus dem Bundesministerium für Landesverteidigung und Sport.

Schlechte Kommunikation
Die Militärs der anderen Teilnehmerländer wurden aber offenbar noch nicht über die Sicherheitslücke informiert oder haben es verabsäumt, zu reagieren. Auf die Accounts zumindest eines Teilnehmer-Landes konnte noch am Freitagnachmittag zugegriffen werden. Da deren Postfächer nach demselben Schema geschützt sind, müssen lediglich die Log-in-Daten vom Foto entsprechend angepasst wurden.

Dass zudem identische Passwörter und Usernamen gewählt wurden, macht auch den Informanten stutzig, der das Foto an die futurezone geschickt hat. "Mit ist das Foto heute morgen um 10:30 aufgefallen. Ich habe dann eine Mail an das Bundesheer geschickt und zwei Stunden später wart das Bild verschwunden. Die laschen Sicherheitsbestimmungen halte ich für grob fahrlässig", so der Übermittler des Bildes.

Keine Geheimnisse
Militärische Geheimnisse gibt es in den Accounts aber nicht zu holen. "Es handelt sich lediglich um temporäre Accounts für Flugpläne. Diese Informationen sind auch mit einer Handy-App für Fluginformationen einsehbar", so das Ministerium. Die geknackten Mail-Accounts könnte Angreifern allerdings die Platzierung von Schadsoftware erlauben. Zudem können über die Adressbücher weitere Mail-Accounts ins Visier genommen werden. Der Vorfall zeigt, dass überall Fehler passieren und deshalb oft keine Geheimdienst-Techniken notwendig sind, um Daten zu stehlen.

Dass die Internetseite des Verteidigungsministerium seit heute Nachmittag nicht mehr zu erreichen ist, hat nichts mit dem Sicherheits-Fauxpas zu tun. "Es handelt sich um Wartungsarbeiten, die seit einem Jahr geplant sind", heißt es aus dem Ministerium.

Mehr zum Thema

  • Justizministerium lässt HNA-Affäre prüfen
  • Bundesheer lockt Rekruten mit Kasernen-WLAN
  • EuGH entscheidet am 9.Juli über Vorratsdaten